Tecnología desechada con (demasiada) información personal
Buena parte de los ordenadores, móviles y de otros dispositivos que se tiran, venden, donan o reciclan contienen desde fotos a tarjetas de crédito
La venta de móviles y ordenadores de segunda mano ha sido común desde siempre, pero desde que existen plataformas como Ebay o Wallapop vender y comprar tecnología de segunda es algo cada vez más común.
La información personal que se almacena en la memoria de estos dispositivos es cada vez mayor aun teniendo en cuenta sistemas en la nube, por eso cuando se vende la tecnología usada es importante borrar la memoria o restaurar de fábrica el dispositivo.
Según un estudio de la firma de seguridad Rapid7, el “formatear” o restaurar de fábrica no es suficiente.
Fotografías, vídeos, documentos de texto, archivos PDF que pueden contener información personal como facturas o, entre otras cosas, declaraciones de la renta. Cualquier tipo de archivo descargado a una memoria que se borra, en realidad no se borra, sino que se le pide al disco duro que “olvide” ese archivo para sobrescribir información nueva.
Cómo se filtra información personal al reutilizar tecnología
Conociendo como funciona el borrado de archivos en la mayoría de los sistemas operativos, Josh Frantz de Rapid7 realizó un experimento que demuestra cómo se filtra información personal a la hora de vender o reciclar tecnología.
Frantz compró 41 ordenadores, 27 memorias, 11 discos duros y 6 teléfonos móviles de segunda mano a varias empresas, y desarrollóun método de extracción de datos de las memorias que está al alcance de cualquier persona. Todos los equipos apenas costaron 530 euros.
Lo primero, quizá más sorprendente, es que no todos los ordenadores se les borra la información. Aunque se done o venda a una empresa que asegura borrará toda información, eso no siempre se cumple.
Cuando se tienen todos los dispositivos, empieza la diversión. Se usan herramientas y scripts que buscan todos los archivos disponibles, organizándolos por categorías y creando unos archivos comprimidos para moverlos a un ordenador donde estudiarlos.
Más de 200.000 datos extraídos de un centenar de aparatos
La idea es extraer datos personales de forma automatizada. Con un pequeño script de unas 20 líneas se realiza una búsqueda de información concreta, como números de seguridad social, fechas de nacimiento, números de tarjetas de crédito o teléfonos móviles de fotos o documentos PDF.
El resultado es demoledor. Más de 200.000 datos en imágenes, más de 3.400 en documentos y casi 149.000 datos de correos electrónicos almacenados.
Una vez filtrados los datos, se encontraron 611 direcciones de correo electrónico, 50 fechas de nacimiento, 41 números de seguridad social, 19 tarjetas de crédito, 6 licencias de conducir y 2 números de pasaporte.
Esta información está al alcance de cualquier persona comprando tecnología de segunda mano por muy poco y el uso de estos datos puede ser devastador.
En la “Deep web” se pueden encontrar enormes bases de datos con nombres de usuarios y contraseñas a precios irrisorios. Tan solo hay que relacionar la información extraída con la filtrada y se podría conseguir hacerle la vida a alguien muy difícil.
Cómo destruir información personal
La forma más fácil de destruir una memoria con información personal es usando un martillo y la fuerza bruta. También fuego. Pero si lo que se requiere es poder revender tecnología, o donarla, siempre existe la forma usada por gobiernos, grandes empresas o partidos políticos: el método Gutmann.
El método Gutmann es un algoritmo que escribe sobre los datos originales una serie de 35 patrones diferentes, de tal forma que teniendo acceso a un programa de recuperación de datos hace imposible encontrar rastro de información que se marcó como borrada.
La mayoría de los sistemas operativos modernos cuentan con métodos de eliminación de datos seguros. Son más lentos ya que no solo le dicen a la memoria que es espacio está libre, sino que también graba información aleatoria para que no se pueda recuperar.